Malware DTPacker
DTPacker është një malware mjaft i veçantë, pasi përmban funksione të paketuesit, si dhe vepron si shkarkues. Një kombinim i tillë i metodave të përdorura për të ofruar ngarkesa kërcënuese në fazën tjetër është mjaft i pazakontë, për të thënë të paktën. Në fund të fundit, paketuesit kanë të dhënat e ngarkesës të ngulitura në to që nga fillimi, ndërsa shkarkuesit e marrin ngarkesën nga një burim në internet ku është pritur.
Detajet rreth malware u publikuan në një raport nga studiuesit që kanë ndjekur kërcënimin që nga viti 2020. Që nga ajo kohë, DTPacker është vëzhguar si pjesë e operacioneve të shumta sulmi për të ofruar një gamë të gjerë kërcënimesh në fazën tjetër , të tilla si info vjedhësit (Agent Tesla dhe FormBook) dhe Trojans ose RAT me qasje në distancë ( Ave Maria dhe AsyncRAT ). DTPacker gjithashtu është vendosur nga disa aktorë të ndryshëm kërcënimi, duke përfshirë TA2536 dhe TA2715 dhe madje edhe grupet APT (Kërcënimi i Përparuar i Përparuar).
Detajet e DTPacker
Zinxhiri i sulmit DTPacker zakonisht fillon me shpërndarjen e emaileve të karremit që mbajnë një bashkëngjitje të armatosur. Skedari i bashkangjitur mund të jetë një dokument i dëmtuar ose një ekzekutues i ngjeshur. Kur viktimat përpiqen të ndërveprojnë me skedarin, ekzekutuesi i paketimit do të dorëzohet në kompjuterët e tyre. DTPacker funksionon në dy faza dhe është i pajisur me teknika të ndryshme errësimi për të shmangur analizat, mjediset e sandbox dhe produktet e sigurisë kundër malware.
Faza e parë e veprimeve të malware përfshin dekodimin e një burimi të integruar ose të shkarkuar në një DLL. Faza e dytë më pas nxjerr ngarkesën nga DLL dhe vazhdon ta ekzekutojë atë. Faza e dytë përdor një çelës fiks i cili fillimisht ishte 'trump2020' por versionet e mëvonshme e kaluan atë në një çelës fiks ASCII 'Trump2026'. Emri i malware bazohet në këta çelësa fiks.
Duhet gjithashtu të theksohet se faqet e internetit të mashtrimit janë krijuar për t'u shfaqur si faqe legjitime të Liverpool FC dhe faqe të bazuara në tifozë. DTPacker përdori këto faqe interneti si vendndodhje të shkarkimit nga ku u morën ngarkesat përfundimtare.
